Test: Wurde mein Passwort gestohlen?

[Mornsgrans]

Auf Heise:

Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

Der unabhängige Sicherheitsforscher Troy Hunt hat seinen Passwort-Prüfdienst Have I Been Pwned erweitert: Man kann dort nun nicht nur nach geknackten Mailadressen beziehungsweise Benutzernamen, sondern nun auch direkt nach geknackten Passwörtern suchen. Der Dienst beantwortet die Frage, ob ein bestimmtes Passwort, etwa correcthorsebatterystaple, in einem bekannten Datenleck enthalten war (die Antwort ist in diesem Fall ja). Dem Dienst liegt momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde.
...

Ich habe es mal ausprobiert und tatsächlich waren drei meiner im Internet verwendeten Passwörter und eine meiner Mailadressen dabei. Natürlich verwende ich diese Passwörter seit längerem nicht mehr, da ich sie von Zeit zu Zeit ändere, natürlich auch, wenn über Datenlecks berichtet wurde und die Mailadresse existiert nicht mehr.

Meine Daten wurden offenbar seinerzeit bei Dropbox abgegriffen, da ich diese Mailadresse-Passwort-Kombination nur dort verwendet hatte.

Testet mal Eure Passwörter und Usernamen/E-Mailadressen - vor Allem, wenn Ihr diese Dienste nutzt und schon länger das Passwort nicht geändert habt.

 

[Pferdle]

Feuerfuchs unter Linux öffnet die Seite. Opera tut nicht.
Keine Seite bei, bei der ich angemeldet bin :thumbup:

Für Passwörter, die man aktiv nutzt, kann man die Liste der Hashes herunterladen und manuell abgleichen.

Ja, gefunden. Wäre eine Möglichkeit.

Ist natürlich super wenn meine Email Adresse da auftaucht ohne konkreten Dienst, sondern in irgendeiner Liste. Was soll ich denn da bitte machen, überall wo ich die die Mailadresse verwende die Passwörter ändern?

Wenn man nicht mal einen Überblick über seine Daten hat, ist das dann auch egal :thumbsup:

Mich nervt bei manchen Diensten die zwangsweise Verwendung der 2FA, weil sie Notfallverwendung des Dienstes unterbindet.

Bei wirklich sensiblen Sachen, zB Bank, ist mir kein Zugriff dann lieber als wenn andere da rein kommen.
Wenn das Telefon weg, hat man ohnehin erst mal andere Sorgen als ein OnlinBanking.

 

[moronoxyd]

Oder halt auch nicht:

Anhang anzeigen 133606

Das Ding ist im HPI Identitiy Leak Checker auch schon aufgetaucht, ist dort aber genauso nichtssagend...

Diese Webseiten können auch nur die Infos liefern, die sie haben. Aber nicht alle Leaks von Passwörtern enthalten die Info, wo sie herstammen.

 

[Thomebau]

Sicher, das war ja auch keine Kritik an der Seite, ist halt nur doof dass man da dabei ist und nicht viel machen kann...

Bite my shiny metal ass!